Nastavení na straně 2Element

Je potřeba vytvořit novou chráněnou aplikaci (Nastavení-Chráněné aplikace-Přidat) typu SAML a zvolit konfigurační profil FortiGate - SSL VPN. Jako FortiGate SSL VPN URL nastavte HTTPS adresu pod kterou je SSL VPN dostupná z internetu - pokud není použit port 443, tak včetně portu (např. https://vpn.2element.io nebo https://vpn.2element.io:10443).

Pokud chcete zapnout ověřování podpisů SAML zpráv odeslaných z FortiGate, stáhněte certifikát kterým se budou zprávy podepisovat z FortiGate a nahrajte ho nebo vložte do pole Podepisující certifikát chráněné aplikace.

Po vytvoření chráněné aplikace je zobrazen její detail spolu s informacemi potřebnými v dalším kroku.

Nastavení na straně FortiGate

Nejprve je nutné naimportovat TLS certifikát kterým aplikace 2Element podepisuje SAML assertions (vrácené informace o uživateli) a následně vytvořit Single Sign-On konfiguraci.

Nejjednodušším způsobem je zobrazení CLI konfigurace pomocí tlačítka Zobrazit CLI konfiguraci v detailu chráněné aplikace. Zobrazenou konfiguraci je možné vložit do FortiGate CLI.

TLS certifikát je také možné stáhnout a naimportovat pomocí administračního rozhraní FortiGate (System-Certificates-Create/Import-Remote Certificate) a novou Single Sign-On konfiguraci je možné vytvořit pomocí průvodce v administračním rozhraní FortiGate (User & Authentication-Single Sign-On-Create New).

Podpora uživatelských skupin

Na FortiGatu vytvoříme novou skupinu typu Firewall a přidáme novou vzdálenou skupinu (Remote Groups-Add). Jako Remote Server vybereme 2Element SAML server vytvořený v předchozím kroku. Atribut Groups nastavíme na Specify a vyplníme název skupiny tak jak je uveden v aplikaci 2Element.

Diagnostika chyb

V případě nefunkčnosti integrace je možné na FortiGate zapnout výpis ladících informací: